萬盛學電腦網

 萬盛學電腦網 >> 網絡基礎知識 >> 常用網絡安全策略有哪些

常用網絡安全策略有哪些

id="conbox">

  現如今互聯網的普及,方便了大眾,同時也誕生了很多黑客、木馬等之類的東西,損害了廣大網友的利益,那麼如何防范這些呢?學習啦小編在這裡給大家提供網絡的安全防范策略,希望能幫到大家。

  1、堵住漏洞

  (1)安裝操作系統時要注意

  因為現在的硬盤越來越大,許多人在安裝操作系統時,希望安裝越多越好。豈不知裝得越多,所提供的服務就越多,而系統的漏洞也就越多。如果只是要作為一個代理服務器,則只安裝最小化操作系統和代理軟件、殺毒軟件、防火牆即可,不要安裝任何應用軟件,更不可安裝任何上網軟件用來上網下載,甚至輸入法也不要安裝,更不能讓別人使用這台服務。

  (2)安裝補丁程序

  上面所講的利用輸入法的攻擊,其實就是黑客利用系統自身的漏洞進行的攻擊,對於這種攻擊我們可以下載微軟提供的補丁程序來安裝,就可較好地完善我們的系統和防御黑客利用漏洞的攻擊。我們可下載windows最新的service pack補丁程序,也可直接運行開始菜單中的windows update 進行系統的自動更新。

  (3)關閉無用的甚至有害的端口

  計算機要進行網絡連接就必須通過端口,而“黑客”要種上“木馬”,要控制我們的電腦也必須要通過端口。所以我們可通過關閉一些對於我們暫時無用的的端口(但對於“黑客”卻可能有用),即關閉無用的服務,來減少“黑客”的攻擊路徑。我們可通過“控制面板”的“管理工具”來進入“服務”,而要關閉的端口或服務有:(1)23端口:通過關閉Telnet服務,即禁止Telnet服務 (該服務可使遠程用戶登錄到系統並且使用命令運行控制台程序) ;(2)server服務,此服務提供RPC支持、文件、打印以及命名共享,關掉它就關掉win2k的默認共離,比如IPC$(可用於net命令攻擊) C$(C盤共享)、admini$(winnt\system32目錄共享),最好還要取消網絡中的文件和打印共享。(3)3389端口:在“管理工具→終端服務配置→連接→RDP-TCP屬性→遠程控制→選“不允許遠程控制”來關閉3389等一些無用的端口。你也可用通過打開“TCP/IP協議” →選擇“屬性”,打開“常規” →選擇“高級”,打開“選項” →選擇“TCP/IP篩選” →選擇“屬性” →雙擊“TCP/IP篩選” →選擇“只允許” →選擇“添加”添加需要打開的端口;如上網必須要利用的80端口。

  (4)刪除Guest賬號

  win2000的Guest賬號一般是不能更改和刪除的,只能“禁用”,但是可以通過net命令(net user guest /active)將其激活,所以它很容易成為“黑客”攻擊的目標,所以最好的方法就是將其刪除,下載Ptsec.exe 即win2000權限提升程序。進入cmd,打入Ptsec /di回車,退出。進入注冊表,搜索guest,刪除它,Guest賬號就被刪除了。

  (5) 限制不必要的用戶數量

  去掉所有的duplicate user賬號,測試賬號,共享賬號,不再使用的賬號。這些賬號常會成為黑客入侵系統的突破口,賬號越多,黑客得到合法用戶的權限的機會就越大。如果你的計算機賬號自動增加,則可判斷你被入侵了。

  (6)創建一個陷阱賬號

  我們都知賬號administrator是最有可能成為別人攻擊的目標,它既不能刪除也不能停用,但是它可以更名。利用這一點,我們可將其偽裝成一普通用戶,如改名為chineseboy,並創建一個名為“administrator”的本地賬戶,把它的權限設成最低,並加上一個超級復雜密碼,我們也可以利用智能卡來代替密碼。這可讓那些“黑客”忙上一陣,並可借此發現它們的入侵企圖。當然如果你所做的這些如被別人盜知,那你的服務器又會成了一個被藏有士兵的木馬攻陷的特洛伊城了。

  (7)安裝防火牆

  雖然本文中上述的攻擊方法都沒有被防火牆攔截(也可能我檢測時對方的防火牆沒設好),但是設置好的一個防火牆對於一些大量的但是較為簡單的攻擊還是相當有效的。如天網防火牆,安裝後進入自定義IP規則,進行設置,必須勾選的有(1)禁止互聯網上的機器使用我的共享資源。(2)禁止所有人的連接。(3)禁止所有人連接低端口。(4)允許已經授權的程序打開端口,這樣一切需要開放的端口程序都需要審批。但是不要勾選“系統設置”裡的“允許所有應用程序訪問網絡,並在規則記錄這些程序”,這個設置是防范反彈木馬和鍵盤記錄的秘密武器。

  2、經常檢查

  俗話說得好:沒有不透風的牆。而且“黑客”還可直接利用80端口進行攻擊,或利用一些還不為我們所知的漏洞攻擊我們。但正所謂:雁過留聲,人過留名。“黑客”入侵我們的電腦肯定會留下蹤跡,那我們又如何查到他們留下的蛛絲馬跡呢?

  (1)啟動審核策略

  進入“控制面板”→“管理工具” →“本地安全設置” →“安全設置” →“本地策略”→“審核策略” →雙擊“審核登錄事件”和“審核對象訪問”,將面板中的“成功”和“失敗”都勾選上,這樣就開啟了事件記錄,以後只要有關於登錄的事件都會被記錄在日志中(如記下對方的IP甚至用戶名)。但這些日志文件主要是:c:\winnt\*.txt和*.log、還有c:\winnt\system32\*.txt(*.log),c:\winnt\system32下的logfiles\*.*(config\*.evt,dtclog\*.*)。如果“黑客”把這些文件刪除,那在日志中就看不見任何東西了。(當然如果忽然日志裡無任何內容,那一定是被入侵了)。

  (2)檢查開放的端口和利用嗅探器監視網絡通訊

  遠程控制型木馬以及輸出shell型木馬,大都會在系統中監聽某個端口,接收從控制端發來的命令並執行,通過檢查系統上開啟的一些“奇怪”的端口(如冰河木馬默認端口為7626),從而發現木馬的蹤跡。常用的軟件有Fport和Aport,它們可列出本地計算機所開的端口及開啟端口的程序。如果還想了解“黑客”的IP、甚至賬號、密碼和郵箱,我們可安裝嗅探器(sniffer),或網絡檢測工具Tcpview.exe,我們可直接查看並中斷任一通信進程。也可在CMD裡輸入:sniffer -pass –log mail.txt。就是截取所有密碼放置在Mail.txt。我們就可直接查看這個文件,得到較為詳細的情報。

  (3)檢查注冊表

  木馬為了能在開機後自動運行,往往在注冊表如下位置中添加注冊表項:

  Chkey_Current_User\Software\Mcrosoft\Windows\Currentversion \Run

  \Runonce

  Hkey_local_Machine\Software\Microsoft\windows\Currentversion \Run

  \Runoncex

  \Runservices

  \runonce

  Hkey_users\.Default\Software\Microsoft\Windows\Currentversion \Run

  \Runonce

  如果在以上項裡發現有些程序文件不是你安裝的,那就很有可能你中了木馬。在win98系統中,木馬也可在win.ini和system.ini的“run=”,”load=”,”shell=”後加載自己的程序名,而且有些木馬程序與正常的文件程序很相似,如不仔細觀察很難發現。也有些木馬在系統進程中留下足跡,甚至將自己作為服務添加到系統中,或隨機替換系統中沒啟動的服務程序來實現自加載,這就需要對操作系統的常規進程和服務有所了解。

  3、清除木馬病毒

  (1)軟件殺毒

  當發現可疑文件時,最直接的方法就是運行防毒軟件(最好是利用實時監控,進來一個殺一個)。好的殺毒軟件不僅能殺掉一些著名的病毒,還能查殺大量的木馬列程序。這樣,那些“黑客”們使用的那些有名的木馬(如:冰河,灰鴿子,廣外女生)就毫無用武之地,不過不要忘了經常升級病毒庫。還有就是利用專殺木馬軟件:木馬列克星;殺木馬的效果也比較好。

  (2)手工刪除

  俗語說得好:道高一尺,魔高一丈。新木馬的產生總是會在殺木馬軟件之前,這就需要我們進行手工刪除。對於查到的可疑文件,不能立即刪除,因為還是可疑而已(而且有的木馬列是依附在某些文件上的)。首先要備份可疑文件和注冊表(可直接在注冊表編輯器中的“注冊表”菜單中“導出注冊表文件”進行備份)。對於可疑文件可通過ULTRAEDIT32編輯器查看文件首部信息,通過可疑文件裡的明文字符對木馬有一大致了解。最後刪除“木馬”文件及注冊表中的鍵值。如提示:文件正在運行,無法刪除。則重啟進入安全模式再刪。

  “黑客”的攻擊技術在不斷的變化和升級。我們更要不斷提高防范技術,通過熟悉他們的攻擊方法,做出相應的防御手段,才能談及網絡的安全性

copyright © 萬盛學電腦網 all rights reserved